5.3. ドメイントランジションの概要: sepolicy transition
以前は、
setrans
ユーティリティーを使用して、2 つのドメインまたはプロセスタイプ間の移行が可能であり、これらのドメインまたはプロセス間の移行に使用されるすべての中間タイプを出力していました。Red Hat Enterprise Linux 7 では、setrans
が sepolicy
スイートに同梱され、代わりに sepolicy transition
コマンドが使用されるようになりました。
sepolicy transition
コマンドは、SELinux ポリシーにクエリーし、プロセスの移行レポートを作成します。sepolicy transition コマンドには、ソースドメイン (-s
オプションで指定) とターゲットドメイン (-t
オプションで指定) の 2 つのコマンドライン引数が必要です。ソースドメインのみを入力した場合は、sepolicy transition
により、ソースドメインが移行可能なドメインがすべて一覧表示されます。以下の出力には、すべてのエントリーが含まれているわけではありません。「@」 の文字は、「execute」 を意味します。
~]$
sepolicy transition -s httpd_t
httpd_t @ httpd_suexec_exec_t --> httpd_suexec_t
httpd_t @ mailman_cgi_exec_t --> mailman_cgi_t
httpd_t @ abrt_retrace_worker_exec_t --> abrt_retrace_worker_t
httpd_t @ dirsrvadmin_unconfined_script_exec_t --> dirsrvadmin_unconfined_script_t
httpd_t @ httpd_unconfined_script_exec_t --> httpd_unconfined_script_t
ターゲットドメインが指定されている場合、
sepolicy transition
はソースドメインからターゲットドメインへのすべての移行パスについて SELinux ポリシーを検査し、これらのパスを一覧表示します。以下の出力は完了していません。
~]$
sepolicy transition -s httpd_t -t system_mail_t
httpd_t @ exim_exec_t --> system_mail_t
httpd_t @ courier_exec_t --> system_mail_t
httpd_t @ sendmail_exec_t --> system_mail_t
httpd_t ... httpd_suexec_t @ sendmail_exec_t --> system_mail_t
httpd_t ... httpd_suexec_t @ exim_exec_t --> system_mail_t
httpd_t ... httpd_suexec_t @ courier_exec_t --> system_mail_t
httpd_t ... httpd_suexec_t ... httpd_mojomojo_script_t @ sendmail_exec_t --> system_mail_t
sepolicy transition
の詳細は、sepolicy-transition(8) man ページを参照してください。